ERNW News

Matthias Luft beschreibt in diesem Newsletter die Ergebnisse einer Evaluierung der Data Leakage Prevention (DLP) Lösungen zweier grosser Hersteller. Unsere Skepsis gegenueber der DLP-Technologie wurde nachhaltig bestätigt, und der Auftraggeber der Evaluierung hat die Feststellungen "mit grossem Interesse aufgenommen".

Friedwart Kuhn analysiert in dem neusten Newsletter sicherheitsrelevante Implikationen bei der Verwendung des Privilegs „Trusted for delegation“ im Active Directory und gibt Empfehlungen für die sichere Implementierung dieses Privilegs.

Unsere Trainer sorgen mit ihrem umfangreichen Hintergrundwissen und unserem praxisorientierten Schulungskonzept für eine lehrreiche und interessante Erfahrung. Wir machen keine Kompromisse zwischen tiefgründigem Theoriewissen und sofort anwendbarem Praxis Know-How. Besuchen Sie unsere Workshopübersicht um sich über alle Themen und Termine in der zweiten Jahreshälfte zu informieren.

Außerdem finden Sie in unserem Event Archiv neue Folien zu den Themen "Virtualisierungsicherheit", "Targeted Attacks" und "Sicherheit in Produktionsnetzen".

Friedwart Kuhn analysiert und bewertet in dem aktuellen Newsletter die Sicherheit der Erzeugung von Master Encryption Keys zur Inbetriebnahme von BlackBerry-Geräten und für das automatische Update von Master Encryption Keys zwischen BlackBerry-Geräten und dem BlackBerry Enterprise Server. Die technische Analyse wird von flankierenden Maßnahmen-Empfehlungen zum sicheren Einsatz begleitet.

Matthias Luft und Daniel Mende haben auf einer Veranstaltung des Herstellers F-Secure am 18. Mai einen Vortrag zum Thema "Hacking Mobile Devices" gehalten, der eine Reihe von praktischen Demonstrationen beinhaltete. Die Vortragsfolien finden Sie hier; gerne führen wir die Demos auch in Ihrer Organisation vor oder unterstützen Sie bei der Sicherung mobiler Plattformen.

ERNW ist auch dieses Jahr auf der Blackhat USA vertreten - unter dem Titel "Cloudifornication" spricht Enno Rey zusammen mit Chris Hoff über Cloud Security. Unter "Events & Publikationen" finden Sie mehr Informationen zu diesem und weiteren Vorträgen.

Following ERNW's Responsible Disclosure policy, Michael Thumann reported a XSS vulnerability affecting Blackberry Enterprise Server.

ERNW Security Advisory 01-2009 is now online. See also: www.blackberry.com

Der folgende Text erzählt, wie ein Sicherheitsloch in der VoIP-Infrastruktur eines Unternehmens nachgewiesen werden konnte. Das Unternehmen benutzt das Internet, um Gespräche zwischen zwei Standorten abzuwickeln. Die Untersuchung wurde nach einem Vorfall in Auftrag gegeben, der das Unternehmen viel Geld kosten könnte. Die Darstellung beleuchtet den Vorfall von der technischen Seite.

Visit our Publications & Talks section to get an overview on past conferences and upcoming events. Among other things, you'll find new slides of our talks from ShmooCon09 and BASTA! 2008.

There's also a new subsection for talks addressed to an Academic Audience.

The continuing merger of data and voice networks brings new security challenges. This 2-day course provides detailled knowledge about securing complex Voice-over-IP implementations. We will cover typical threats and vulnerabilities in VoIP networks and provide a risk-based approach in securing them.

Lots of real world examples and some hands-on experience might help to get a better understanding of the interactions, potential threats and mitigating controls to come across in VoIP networks.

Available dates:
April 7-8, 2009
May 18-19, 2009
June 23-24, 2009

For more information please head over to our 'Know-How Transfer' section.

Das ERNW-Hackerteam, bestehend aus (v.l.n.r) Roger Klose, Daniel Mende, Simon Rich und Grandmaster Michael Thumann, konnte sich in Dayton (Ohio) während der PacketWars, die im Rahmen der Day-Con gegen die durchaus zahlreiche und talentierte nordamerikanische (Ninja-Hacker-) Konkurrenz durchsetzen. Wir gratulieren!"

TrueCrypt – Eine Einführung

Crypto ist in! Noch nie war es so einfach Daten zu ver- und entschlüsseln, ohne die verwendeten Technologien vollständig zu durchdringen. Im Speziellen erfreuen sich die Technologien großer Beliebtheit, bei denen der Prozess des Vier- oder Entschlüsselns transparent, das heisst für den Benutzer unsichtbar abläuft. Ein freies Open-Source Produkt, um das man bei der näheren Betrachtung von transparenter Daten (-träger) Ver- und Entschlüsselung nicht herumkommt, ist TrueCrypt. Vor Kurzem in der Version 6.0a erschienen, bietet TrueCrypt mittlerweile eine Vielzahl von Features und Funktionen und deckt ein weites Anwendungsfeld ab.
Dieser Newsletter soll einen Überblick verschaffen, sowie den Einstieg in benutzerfreundliche Verschlüsselung von Daten geben.

Dauer: 2 Tage (1 Tag Training & 1 Tag Workshop)

Nach einer Einführung in elementare Komponenten von Virtualisierungs-Architekturen werden die wichtigsten Angriffsszenarien sowie zugehörige Threats & Vulnerabilities dargestellt. Wir erläutern Design-Fragen, sicherheits-relevante Prozesse und typische Policy-Bestandteile.
Anschliessend werden spezifische Fragestellungen von VMware ESX behandelt. Neben Hardening-Richtlinien und (Revisions-) Checklisten stehen hier auch Konfigurations-Aspekte des vSwitch und der Management-Zugänge im Fokus. Daneben werden wichtige (kommerzielle) Zusatztools vorgestellt und hinsichtlich ihres Nutzens und ihrer Einsatzszenarien diskutiert.

Inhalt:
Tag 1 (Training)- Grundlegende Konzepte und Terminologie
• Typische Komponenten und wichtige Lösungen
• Überblick über Angriffsarten (Gast -> Gast, Gast -> Host, Angriffe gegen Mgmt)
• Backdoor / VMEscape
• Angriffstools, Fuzzing
• Das Problem "Rogue VMs"
• Durchfuehrung einer exemplarischen Risiko-Analyse
• Typische Policy-Bestandteile beim Einsatz.
• Sicherheits-Prozesse (Patching, Change Management etc.)

Tag 2 (Workshop) VMware ESX
• Hardening-Schritte & (Revisions-) Listen
• Sicherheits-Aspekte des vSwitch und der Management-Interfaces
• Kommerzielle Zusatztools: Klassifizierung, Vorstellung, exemplarische Demo/Übung
(Blue Lane, Montego, RSA Reflex)
• Technologie-Ausblick (Flash-basierter Hypervisor, vSafe-Initiative)

Was erwartet Sie?
• Topaktuelle Inhalte, Live-Demonstrationen aktueller Angriffe gegen VMWare ESX
• Die perfekte Mischung aus Theorie und Praxis
• Reger Erfahrungsaustausch
• Gemeinsames Abendessen im Brauhaus Vetters (Heidelberg) und Rundgang durch die Heidelberger Altstadt

Termine
29. - 30.07.2009
17. - 18.09.2009
15. - 16.10.2009
04. - 05.11.2009
30.11. - 01.12.2009

Weitere Informationen:
VirtSec Flyer
Workshop Termine

Die virtuelle Welt des Secondlife ist für viele Menschen ein Ort des zweiten Selbstentwurfs. In der virtuellen Welt fängt man ganz neu an, und schafft sich ein neues, zweites Leben. Daher der Name. Je stärker allerdings der Reiz dieser virtuellen Gesellschaftsform wurde, desto schonungsloser dringt die reale Welt hart in sie ein: Heidelberger Hacker decken Sicherheitslücken auf.

Ist Secondlife wirklich sicher? Diese Frage stellt Michael Thuman, Chief Security Officer bei der Heidelberger ERNW GmbH auf einem Symposium der IT-Messe Systems. In der realen Welt ist ERNW eine der führenden Gesellschaften für Sicherheit in der Informationstechnik. Die Experten sind international gefragte „Hacker mit weißem Hut“. Sie penetrieren im Auftrag vor allem von Banken, Versicherern und anderen sicherheitsorientierten Unternehmen die Datennetze, hacken sich rein und finden Sicherheitslücken.

Michael Thumann: „In dem Maße, wie online-Spiele zu einem realen Millionenmarkt geworden sind, steigen die Risiken. Das gilt nicht nur für die Spieler, sondern auch für die Unternehmen, die ins Geschäft involviert sind. Deshalb ist es im Interesse aller Beteiligten, wenn Lücken so schnell wie möglich geschlossen werden.“

Secondlife ist eine virtuelle Volkswirtschaft mit über 10 Millionen virtualisierten Bürgern. Laut eigenen Angaben setzt die Secondlife Community pro Monat 7,5 Millionen der Secondlife-Währung Linden-Dollars um. Das Ganze wäre nur virtueller Spaß, wäre da nicht auch beim Geld eine Schnittstelle ins Reale: es existiert ein realer Wechselkurs. 230 Lindendollar werden für
1 US-Dollar gehandelt und verkauft Die kursierende „Geldmenge“ wird mit 3,6 Milliarden Lindendollars angegeben. Der Monatsumsatz von 7,5 Mio Linden-Dollars steht also für über 32.000 reale US-Dollars. Hochgerechnet ist Secondlife also ein Markt, in dem nahezu 400.000 harte US-Dollars pro Jahr bewegt werden. Die Tendenz ist steigend.

Thumann: „Speziell beim Secondlife Client ist das Bestreben der Entwickler erkennbar, eine sichere Software zu entwicklen. Aber Secondlife als Ganzes ist noch lange nicht sicher genug. Es gibt viele Angriffs-Szenarien, man kann sich beispielsweise innerhalb von kurzer Zeit real bereichern oder aus der virtuellen Welt reale Server im Internet attackieren.“ Die schöne neue Welt hat Lücken. So sehr die traditionellen Begriffe von Wahrheit und Wahrhaftigkeit in einer Welt, die sich selbst neu entwirft, zur Neuinterpretation einladen; Betrüger gibt es auch im virtuellen Leben. Sie können die Virtuellen Existenzen um reales Vermögen erleichtern. Und es gibt real denkende Instanzen, die sich für die reale Sicherheit der fantasierenden Welt einsetzen.

Eine live-Demonstration der gefundenen Schwachstellen in Secondlife stellt ERNW in Deutschland erstmals im Rahmen der Systems 2007 (München) am 23.10.2007, 17:15h vor. (IT-Security Area, Halle 3, Forum Rot).

Wenn Sie mehr Info wünschen, schreiben Sie uns.

Neu im Pen-Testing Portfolio: Überprüfung der an der IP-Telefonie beteiligten Protokolle, Gateways, Endgeräte und Softphones auf Schwachstellen, die z.B. folgende Auswirkungen haben können:

• Abhören von Verbindungen/Sniffing
• Denial-of-Service auf VoIP-Komponenten
• Kompromittierung von Komponenten, die ein Abhören bzw. missbräuchliches Umleiten von Telefonaten ermöglichen
• Spoofing d.h. Identitätsmissbrauch und damit der Verlust der Authentizität (Telefon-Banking, Abrechnungsbetrug)
• SPIT (VoIP-Spam)

weitere Pen-Test Module

ERNW konzipiert praxisorientierte Security-Schulungen sowohl für technische wie auch für eher weniger technisch orientierte Zielgruppen. Dies beinhaltet die Konzeption der Inhalte, Erstellung der Schulungsunterlagen und die Bereitstellung von Top Trainern.

Hier finden Sie einige unserer aktuellen Security-Schulungskonzepte:

* Advanced Network Security
* Know your Enemy - Wie arbeiten potentielle Angreifer?
* Nessus
* WebApplication Security
* Network Admission Control
* Securitymanagement, Wege zur Compliance
* Risikomanagement